De kwetsbaarheid van de ICT-samenleving

(1)

3

Voorwoord

M. Schuilenburg

De noodtoestand als regel; cyberkritische reflecties over de openbare ruimte

H.A.M. Luiijf

De kwetsbaarheid van de ICT-samenleving

J.E.J. Prins

Technologie en de nieuwe dilemma’s rond identificatie, anonimiteit en privacy

Chr.A. Alberdingk Thijm Peer-to-peer vs. auteursrecht

H.W.K. Kaspersen

Bestrijding van cybercrime en de noodzaak van internationale regelingen

W.Ph. Stol

Trends in cybercrime Summaries

Journaal

Literatuuroverzicht Algemeen

Strafrecht en strafrechtspleging Criminologie

Gevangeniswezen/tbs Reclassering

Jeugdbescherming en -delinquentie Politie

Slachtofferstudies

Inhoudsopgave

5 9

22

34

48

58

76 95 98

102 102 103 104 110 111 112 114 115

(2)

Boeken en rapporten

Tijdschriftenlijst WODC-documentatie 2004

Register Justitiële verkenningen 2004

117 123 126

(3)

Voorwoord

Cybercrime ofwel computer- en internetcriminaliteit is in een luttel aantal jaren uitgegroeid tot een verschijnsel waarmee iedere compu- tergebruiker bijna dagelijks wordt geconfronteerd. De gevolgen van bijvoorbeeld spam en (vooralsnog toegestane) spionagesoftware mogen dan meestal beperkt blijven en hacken wordt doorgaans als sport gezien, de technische vaardigheden die erachter schuilgaan, worden ook ingezet voor zeer schadelijke activiteiten. Te denken valt aan identiteitsroof, plundering van bankrekeningen en het verstoren van vitale infrastructuren als drinkwater- en elektriciteitsvoorzienin- gen. Auteur E. Luiijf geeft daarvan in zijn bijdrage aan dit themanum- mer van Justitiële verkenningen verschillende aansprekende voorbeel- den. Daarnaast heeft het internet tal van criminele activiteiten een nieuwe dynamiek gegeven. Kinderporno is met enkele muisklikken verkrijgbaar en de vervaardigers/verspreiders ervan hebben de hele wereld als afzetmarkt. Handelaren in wapens, geneesmiddelen, drugs en illegale software gebruiken het internet volop als marketing- en verkoopinstrument. Dat je tegenwoordig niet alleen in de ‘echte’

wereld kunt vertoeven, maar ook in een virtuele wereld, is op zich prachtig. Maar het betekent ook dat voorheen in hun eigen omgeving geïsoleerde personen met extreemradicale opvattingen gemakkelijk met geestverwanten in contact kunnen komen. Zo wordt wel gesteld dat er tegenwoordig een vorm van radicale islam bestaat, geheel los van een specifieke culturele context. Deze bestaat maar op één plek:

het internet. Meer in het algemeen kan worden opgemerkt dat de door internet veroorzaakte democratisering van kennis er ook toe heeft geleid dat deskundigen die normaliter een filterfunctie vervullen – bijvoorbeeld artsen, journalisten, geestelijken, leraren – worden omzeild of dat men via internet zijn eigen arts of geestelijke zoekt.

Cybercrime is maar één van de vele verschijnselen waarin de ingrij- pende invloed van informatie- en communicatietechnologie op de samenleving tot uitdrukking komt. De alomtegenwoordige en zich steeds verder ontwikkelende technologie is ook van grote invloed op de rechtshandhaving. Informatie kan in ongekende hoeveelheden worden opgeslagen en technieken om daaruit de relevante feiten te selecteren en te combineren op het gewenste moment, zijn volop in ontwikkeling. Dit stelt justitie en politie in staat tot een pro-actieve benadering van criminaliteitsbestrijding en handhaving van de open-

5

(4)

bare orde. Dat als gevolg daarvan grote groepen burgers als potentiële wetsovertreders en/of informanten worden benaderd, wordt voor lief genomen. Deze ontwikkeling roept tevens de nodige vragen op met betrekking tot privacybescherming. Veel privacygevoelige informatie wordt overigens in eerste instantie door de commercie aan de consument ontfutseld en is gericht op het verlenen van service, het bieden van comfort. Tegelijkertijd is er een tendens om het koppelen van verschillende informatiebestanden te vergemakkelijken zodat in de toekomst ook justitie en politie in principe toegang zouden kunnen krijgen tot dergelijke privé-informatie. Ook de verplichting die internet- aanbieders als uitvloeisel van Europese wetgeving opgelegd hebben gekregen om verkeersgegevens van klanten enkele jaren op te slaan, laat zien dat privacy aan belang heeft ingeboet.

In het openingsartikel betoogt Schuilenburg dat informatie- en communicatietechologie (ICT) de strafrechtelijke handhaving zodanig heeft veranderd dat er een permanente noodtoestand is ontstaan.

De auteur refereert aan de invloed van camera’s in de publieke ruimte en het gebruik van computernetwerken op de misdaadbestrijding.

Door de pro-actieve benadering van de politie ontstaat een wettelijk vacuüm waarin elke burger een informant wordt. Als gevolg daarvan vervaagt het onderscheid tussen burgers en verdachten. Vervolgens gaat de auteur in op de opmars van een nieuwe officiële straf voor fraude en milieumisdrijven in de informatiemaatschappij: noemen en verdoemen (naming & shaming), ofwel de digitale schandpaal.

De twee beschreven veranderingen worden gepresenteerd als een nieuw paradigma van hedendaags bestuur: een noodtoestand waarin elk virtueel gevaar als actueel wordt beschouwd. De noodtoestand vormt niet langer een uitzondering, maar is regel, wet geworden.

Luiijf stelt in zijn bijdrage dat de samenleving steeds afhankelijker wordt van ICT en daarmee kwetsbaarder voor dreigingen van verschillende aard. De auteur onderscheidt dreigingen die het vertrouwen ondermijnen van burgers, consumenten en bedrijfsleven in de toe- passingen en producten van ICT; en hij noemt de dreigingen gericht op vitale infrastructurele voorzieningen die in belangrijke mate afhankelijk zijn van ICT. In het artikel worden de huidige dreigingen en kwetsbaarheden aan de hand van voorbeelden besproken. Ook toe- komstige ontwikkelingen komen aan de orde, zoals Radio Frequency Identification (RFID), kleine chips die straks de streepjescode van artikelen gaan vervangen en in allerlei goederen, dieren en producten ingebed gaan worden om ze gedurende de levensduur middels radio-

(5)

golven te traceren. De auteur gaat tevens in op zwakheden in het huidige rechtssysteem – zowel in Nederland als daarbuiten – die de bestrijding van cybercrime bemoeilijken. Als voorbeelden van cybercrime noemt de auteur onder meer de opzettelijke aanvallen op ICT die infrastructurele voorzieningen ondersteunt: transport en distributie van elektriciteit en gas, en (drink)waterbeheer.

In het artikel van Prins staan actuele ontwikkelingen op het grensvlak tussen anonimiteit en identiteit centraal. De auteur analyseert de invloed van zowel technologische ontwikkelingen als van erkende privacy beginselen over de grenzen van identificatie enerzijds en anonimiteit anderzijds. Ze besteedt aandacht aan zowel ontwikkelingen op het terrein van opsporing, handhaving en terrorismebestrij- ding als aan kwesties van kenbaarheid en anonimiteit in de private sector. De vraag dringt zich op of het huidige wettelijke regime voor privacybescherming nog wel voldoet, nu het steeds vaker niet alleen gaat om de vraag of persoonsgegevens (mogen) worden verwerkt, maar ook om de vraag hoe en in welke combinatie ze worden verwerkt. De huidige Wet bescherming persoonsgegevens (Wbp) beperkt de rechten van betrokkenen echter tot enkelvoudige verwerkingen (losse persoonsgegevens). De auteur wijst erop dat privacy veel meer inhoudt dan enkel bescherming van persoonsgegevens. Werkelijke bescherming van het grondwettelijke recht op privacy betekent dat burgers inzicht en invloed krijgen op de manier waarop hun gedrag, belangstelling en sociale en culturele identiteiten worden gecreëerd en gebruikt in de hedendaagse samenleving.

Alberdingk Thijm gaat vervolgens in op de vraag naar de rechtmatig- heid van zogeheten peer-to-peer-programma’s (P2P) zoals Napster en KaZaA, die gebruikers van deze programma’s in staat stellen bestan- den direct met elkaar uit te wisselen. Na een korte uitleg van de werkwijze van P2P-programma’s analyseert hij de door de muziekindustrie aangespannen rechtszaken tegen Napster en KaZaA wegens schending van het auteursrecht. Waar het om draait in dit juridische gevecht is of de zoekfunctie van het programma beschikbaar komt via een centrale server die wordt beheerd door de leverancier van het P2P-programma. In die gevallen kunnen rechthebbenden de leverancier dwingen om niet langer de vindplaats door te geven van bestan- den die een schending van het auteursrecht opleveren. Dit is echter niet mogelijk bij de nieuwste generatie P2P-programma’s, zoals KaZaA, die volledig gedecentraliseerd opereren.

Auteursrechtorganisaties zullen er nu toe overgaan individuele P2P- 7

Voorwoord

(6)

gebruikers voor de rechter te slepen. In de volgende fase van dit ‘heil- loze’ gevecht zullen zij proberen af te dwingen dat internetproviders de identiteit van deze gebruikers prijsgeven.

Kaspersen constateert in zijn bijdrage een toename van diverse vormen van computer- en webcriminaliteit zoals hacking, het door

‘aanvallen’ doelbewust lam leggen van websites, spamming en het gebruik van spy ware. Hoewel Nederland de meeste van deze handelingen strafbaar heeft gesteld slagen justitie en politie er niet in de internetcriminaliteit te verminderen of daartegen adequate preventieve actie te ondernemen. Het wereldomspannende karakter van internet en de daarmee samenhangende criminaliteit vraagt om internationale regelgeving en -samenwerking. Een dergelijke samenwerking is alleen bereikbaar als er overeenstemming bestaat over de vraag welk gedrag strafbaar moet worden gesteld en als de wet mogelijkheden schept deze misdrijven adequaat te onderzoeken. Deze voor- waarden kunnen slechts worden gerealiseerd in een min of meer permanente vorm van internationale onderhandelingen. De auteur bespreekt de inhoud, de belangrijkste kenmerken en de verdiensten van de Cyber Crime Conventie van de Raad van Europa (2001) en aan- verwante maatregelen van de Europese Unie, met aandacht voor de implementatie van deze maatregelen in het Nederlandse Wetboek van Strafrecht.

Stol ten slotte beschrijft de laatste ontwikkelingen met betrekking tot verscheidene vormen van cybercrime. De schending van privacy (zowel door andere burgers als door de overheid), internetfraude, de verspreiding van kinderporno en systeembedreigende delicten als hacking, spam en computervirussen worden in Nederland gezien als de belangrijkste aan internet gerelateerde problemen. Een ander probleem is het gebruik van internet door extremisten en terroristen als hulpmiddel in hun communicatie en organisatie. Op het terrein van rechtshandhaving hebben de bestrijding van extremisme, terrorisme, internetfraude en de verspreiding van kinderporno prioriteit. De werkwijze van deze ‘webcriminelen’ verandert voortdurend. Zo opereren handelaars in kinderporno tegenwoordig niet meer via berichten in nieuwsgroepen, maar via spam. De politie moet dergelijke ontwikkelingen goed bijhouden, maar helaas ontbreekt het aan crimonolo- gische kennis over cybercrime.

M.P.C. Scheepmaker

(7)

9

De noodtoestand als regel

Cyberkritische reflecties over de openbare ruimte

M. Schuilenburg*

‘We must promote a more entrepreneurial approach: one that encourages people to be proactive, not reactive, and to behave less like bureaucrats and more like venture capitalists; one that does not wait for threats to emerge and be ‘validated’ but rather anticipates them before they appear and develops new capabilities to dissuade and deter them.’

Donald Rumsfeld, U.S. Secretary of Defense

‘De grote ontdekking van de twintigste eeuw was de techniek van het uitgestelde oordeel,’ stelde de Engelse filosoof Bertrand Russell ooit.

Nu veronderstelt de eenentwintigste eeuw, de eeuw waarin technologische media voor het eerst op grootschalige wijze in ons bestaan doordringen, een andere techniek. Niet meer de opschorting staat centraal, maar het andere uiterste, dat van de ‘directheid’ en

‘onmiddellijkheid’. Hoe lang duurt het nog voordat alle voorwerpen waarvan we dagelijks gebruikmaken, met elkaar zijn verbonden en ogenblikkelijk met elkaar communiceren door middel van globale netwerken? RFID-chips die een unieke identificatiecode uitzenden worden door Japanse fabrikanten in de kleding van leerlingen van basisscholen verwerkt. Die chip kan op afstand worden gelezen;

onmiddellijk wordt gezien waar iemand uithangt. De verwerking van smartchips in producten blijft niet tot kleding beperkt, ook onze etenswaren zijn aan de beurt. Uit een toekomststudie van TNO Telecom komt het beeld naar voren van diepvriesmaaltijden die in contact treden met keukenapparaten, die op hun beurt weer informatie doorgeven aan de fabrikant van de pizza, de oven, en de super- markt. Het lijdt geen twijfel dat bankbiljetten en mobiele telefoons volgen. In een oogopslag kan worden gezien waar(aan) we ons geld

* De auteur is als universitair docent verbonden aan de sectie criminologie van de Faculteit der Rechtsgeleerdheid van de Vrije Universiteit te Amsterdam. Hij dankt de volgende vrienden en collega’s voor hun kritisch commentaar: Gustaaf Biezeveld, Henk van de Bunt, Bob Hoogenboom, Alex de Jong, Henk Oosterling en Juriaan Simonis.

(8)

uitgeven. Uiteindelijk communiceert alles en iedereen met behulp van netwerken die met elkaar in verbinding staan.

Dit artikel gaat over het internet en, meer in algemene zin, over de invloed van communicatie en informatietechnologieën (ICT) op de strafrechtelijke handhaving. Mijn stelling is dat nieuwe media de handhaving zo hebben veranderd dat er een permanente noodtoestand is ontstaan. In een noodtoestand kunnen snel en doeltreffend bevoegdheden worden ingezet op het gebied van de openbare orde en veiligheid. Dat zijn bevoegdheden die te maken hebben met het voorkomen van een verstoring van een ordelijk verloop in de publieke ruimte omdat er een direct dreigend gevaar voor anderen bestaat. Nu waren op het eerste gezicht altijd al media onlosmakelijk met de strafrechtelijke praktijk verbonden. Rond het strafrechtelijk bedrijf werken journalisten voor kranten, tijdschriften en programma’s als Peter R. de Vries en Opsporing verzocht. Maar het begrip media betekent veel meer dan alleen de pers. Hoe definiëren we media en, meer specifiek, hoe definiëren we het strafrecht? Voor Marshall McLuhan waren media technologische verwijdingen of, zoals hij dat in Understanding media (1964) uitdrukte, zelfamputaties van ons lichaam. Internet, gsm’s, videocamera’s, satellieten, al deze media zijn voortzettingen van de functies van onze ledematen, organen en zintuigen. De komst van die media in onze maatschappij brengt effecten teweeg die een directe weerslag op de samenleving en dus ook op de strafrechtelijke handhaving hebben. Ze leidt tot belangrijke veranderingen in de schaal, het tempo en de patronen van diezelfde handhaving. Welke wissel- werking tussen de introductie van die nieuwe media en de strafrechtelijke handhaving is het gevolg? Tot welke consequenties leidt dat voor de notie van orde in de openbare ruimte? Om deze vragen te beantwoorden is een blik op de belangrijkste doorwerkingen van de media instructief. Aan de hand van een kritiek van de fundamentele veranderingen die ICT heeft meegebracht voor de strafrechtelijke handhaving, formuleer ik een kritische positie. Die kritiek houdt geen negatieve beoordeling in, integendeel, ze probeert zich middelen te verschaffen om de doorwerkingen van media op de handhaving adequaat te evalueren. Tegelijkertijd is ze zich ervan bewust dat ze altijd door diezelfde media is bemiddeld.

Netwerksamenleving

Voordat ik op de verandering van de aard en omvang van de strafrechtelijke handhaving inga, is het nodig kort stil te staan bij de huidige

(9)

11

globaal georiënteerde ICT-processen. Deze processen hebben een lange geschiedenis. Nieuw is de wijze waarop ze worden ondersteund door technologieën die hun sociale constructie vinden in de netwerksamenleving. De technologische basis voor de georganiseerde vorm van die netwerksamenleving is het internet. Het internet is een bijzon- dere verschijningsvorm van die informatietechnologie. Zijn invloed gaat volgens de Spaanse socioloog Manuel Castells verder dan de hoe- veelheid mensen die er gebruik van maakt. In The Internet Galaxy (2001) stelt hij dat er een wereldwijd internationaal georiënteerd netwerk van grote bedrijven en organisaties is ontstaan dat afhankelijk is van communicatie en informatieprocessen. De kern van deze nieuwe economie ligt niet meer in een materiële bewerking van goederen.

De economische motor is informationeel. De concurrentiekracht van bedrijven is afhankelijk van hun vermogen om elektronische informatie te creëren en te verwerken. Om het internet te begrijpen moet het worden afgezet tegen de media die eraan vooraf gingen:

de telegraaf, de televisie en de computer. Het internet combineert die media zonder hen te vervangen. De telegraaf creëerde een netwerk waardoor mensen wereldwijd met elkaar communiceerden.

De definitieve doorbraak van het beeld in onze maatschappij kwam tot stand door de televisie. De computer bracht een proces van igitalisering met zich waardoor alle informatie kon worden verwerkt en opgeslagen.

De geschiedenis van het internet gaat terug tot de jaren zestig van de twintigste eeuw. Het Advanced Research Projects Agency (Arpa), een onderdeel van de Amerikaanse krijgsmacht dat in 1958 werd opgericht door het ministerie van Defensie, zocht een communicatiemedium dat bleef werken als er een atoombom was gevallen en alle telefoon-, telex- en faxlijnen waren uitgevallen. In het eerste netwerk uit 1969 werden drie universiteiten en het Stanford Research Institute (SRI) verbonden. Twee jaar later waren dat er vijftien en uiteindelijk werden de computers van tweehonderd universiteiten aan elkaar gekoppeld die over en weer digitale signalen uitzonden en ontvingen. Voor een goed begrip van de schaal en duurzame stabiliteit waarop het internet nu functioneert, zijn twee andere ontwikkelingen cruciaal geweest. In de eerste plaats maakt de opmaaktaal Hyper Text Markup Language (HTML) het mogelijk dat webdocumenten een eenduidige code krijgen. In de tweede plaats zorgt de applicatie die in 1990 wordt ontwikkeld door de Engelse programmeur Tim Berners-Lee, de hyperlink, ervoor dat verschillende gegevens op het internet rechtstreeks met elkaar worden verbonden. Het gevolg is dat het internet, naast dat het

De noodtoestand als regel

(10)

een ‘materiële’ infrastructuur tussen verschillende netwerken is, ook een communicatiemedium wordt. Die twee kenmerken hebben geleid tot een nieuwe wijze van informatieontsluiting en kennisoverdracht in ons menselijk bestaan. Alles draait om de productie en het beheer van informatie. Deze complexe en gelaagde verandering wordt echter onvoldoende door de juridische literatuur onderkend. Zij beschouwt het internet vooral als een domein voor het plegen van strafbare feiten als kinderpornografie en het verspreiden van virussen. In deze opvatting is techniek een neutraal middel om bepaalde doelen te realiseren.

Daar zijn verschillende kanttekeningen bij te plaatsen.

ICT en strafrechtelijke handhaving

Hierboven wees ik op de toegenomen betekenis van ICT en het internet op het maatschappelijk verkeer. De effecten van nieuwe ICT-toe- passingen werden onlangs duidelijk toen een dronken automobilist dacht te ontkomen aan een politiecontrole op de West-Kruiskade in Rotterdam. Hij verwisselde van plaats met zijn medepassagier die niet onder invloed was. Die wisseltruc bleef niet ongemerkt. De politie kreeg een waarschuwing van de afdeling Cameratoezicht die door middel van een netwerk van camera’s de auto had gevolgd. Dit voorbeeld maakt duidelijk dat nieuwe technologieën een trajectcontrole creëren waar meerdere instellingen en staatsapparaten op zijn aangesloten. Hoe lang duurt het voordat met het betalen van de boete voor het zonder rijbewijs en onder invloed rijden ook een schuld bij de Belastingdienst wordt geïnd? Wie ervan uitgaat dat ICT of het internet dus een neutraal, en op zichzelf staand, technisch middel is, hanteert daarmee een instrumentele opvatting van media. In werkelijkheid zijn technologieën nooit waardevrij; ze hebben een eigen dynamiek. Het voorbeeld mag dan ook duidelijk maken dat ze een eigen omgeving scheppen. Dat idee wordt samengevat met de uitspraak van McLuhan:

‘Medium is the message’. Voor een analyse van alle mogelijke werkin- gen van media zal ik me hier beperken tot die op de openbare ruimte en de vraag opwerpen naar de invloed van ICT op de strafrechtelijke handhaving van die ruimte. Welke gevolgen brengt deze nieuwe technologie met zich mee voor die handhaving en de rechtspositie van burgers? Om deze vraag te beantwoorden dienen we te beseffen dat het strafrecht geen praktijk is die zich onafhankelijk van de maatschappij ontwikkelt. Integendeel, voortdurend staat het strafrecht

(11)

13

onder druk van politieke, culturele en economische invloeden die zich uitstrekken tot zijn materiële en formele structuur. Aan deze oneindi- ge rij van betekenisprocedures kan een nieuwe worden toegevoegd;

die van de communicatie en informatietechnologieën. Het gevolg is een transformatie van het strafrecht die langs twee breuklijnen loopt.

In de eerste plaats wordt de reikwijdte van de strafrechtelijke handhaving door nieuwe informatie- en communicatietechnologische processen zo groot dat een verschuiving waar is te nemen van de surveillance naar een pro-actief optreden.¹Dit pro-actief optreden onderscheidt zich van de surveillance zoals die door Michel Foucault in Surveiller et punir (1975) is beschreven. Voor Foucault vormt de sur- veillance de sleutel voor controle. Deze surveillance wordt nu ondersteund door informatietechnologieën en is georganiseerd rond computernetwerken die met elkaar zijn verbonden. Er wordt geschat hoe groot de risico’s van mogelijke gedragingen of, in het geval van het strafrecht, delicten zullen zijn. Verschillende overheden en ondernemingen, zoals verzekeringsmaatschappijen en letseladvocaten, maken gebruik van de kennis die deze schattingen opleveren en passen die toe. Ze implementeren haar door de inzet van ICT, die bij uitstek de verbinding legt tussen verschillende netwerken en daarmee de ‘mate- riële’ basis van dit complex vormt.

Aan de keerzijde van de strafrechtelijke handhaving, daar waar de handhaving eindigt met de oplegging en executie van een straf, vindt een tweede verandering plaats die eveneens, maar op een andere wijze, te maken heeft met de directe en onmiddellijke werking van ICT. Dit wordt duidelijk in het openbaar maken van het gedrag van personen en bedrijven op het internet. Voordat de strafzaak onder de rechter is geweest, plaatsen winkeliers al foto’s van dieven op hun websites om herhaling te voorkomen. De overheid gaf daarin het

‘goede’ voorbeeld. Na de introductie van de euro moedigde minister Zalm de Consumentenbond aan om de namen van de bedrijven te noemen die hun prijzen disproportioneel hadden verhoogd. In zijn betekenis van communicatiemedium zal het internet aan de re-actieve zijde van het strafrecht dan ook tot een relatief nieuwe formele straf leiden: naming & shaming. Deze sanctie zal, zoals we straks zullen zien, vooral kunnen worden ingezet op het gebied van milieucriminaliteit en vormen van fraude en dan in de communicatie richting de

1 Ik verwijs hiervoor naar nieuwe technieken als datamining (het zoeken naar relaties en patronen in databases), datawarehousing (het verzamelen, vastleggen en analyseren van gegevens), oscint (openbronnenonderzoek), enzovoort.

(12)

burgers en direct belanghebbenden zoals aandeelhouders van internationale ondernemingen. Deze twee voorbeelden laten zien dat we moeten bekijken hoe die uiterste posities van de strafrechtelijke handhaving, preventie en bestraffing, een nieuwe betekenis krijgen onder invloed van informatietechnologieën.

Nieuwe cultuur

De stelling dat nieuwe media de strafrechtelijke handhaving zo hebben veranderd dat er een blijvende noodtoestand is ontstaan, wordt aannemelijker wanneer we de operationalisering van de huidige handhaving in ogenschouw nemen. Deze loopt via computernetwerken die met elkaar zijn verbonden. Deze ‘materiële’ infrastructuur leidt tot een set nieuwe regels en een ander concept van veiligheid.

Ze is gebaseerd op een nieuwe cultuur: een cultuur van informatie, een cultuur van virtualiteit, een cultuur van risico. Door ICT als een medium van interactieve verbinding in de handhaving van strafbare overtredingen te implementeren werkt het strafrecht al voordat er een strafbaar feit is begaan. Ofschoon van strafbepalingen ook een preventieve werking uitgaat, kan deze preventie nu op een andere wijze worden ingezet: vanuit andere gezichtspunten en gericht op andere effecten. De bestuurlijke ophouding en het preventief fouilleren anti- ciperen daar al op. Die maatregelen blijven echter nog beperkt tot aanwijsbare gebieden en een beperkte tijdsduur. De effecten van de nieuwe cultuur worden expliciet als we kijken naar de inbedding van de openbare ruimte in technologische media en de implementering van die informatietechnologieën in het staatsapparaat van de politie.

De openbare ruimte wordt 24 uur per dag, zeven dagen in de week, bewaakt door verschillende media. Dat wordt vooral duidelijk in het uitgebreide netwerk van videocamera’s. De inzet van camera’s in bepaalde gebieden is al zeer omvangrijk en intensief. Niet alleen doordat het aantal ruimtes waar ze worden geplaatst in een zeer korte tijd enorm is toegenomen, maar vooral door de productieve effecten ervan: ze construeren een nieuwe vorm van individualiteit of, beter gezegd, een virtuele identiteit die ook bij de afwezigheid van het indi- vidu in de openbare ruimte blijft doorwerken. De schaalvergroting van het gebruik van camera’s wordt voor het eerst duidelijk in Engeland waar in de jaren negentig systemen als Closed Circuit Television (CCTV) gebieden als het metronet in Londen met een

(13)

15

netwerk van duizenden camera’s bedekken. Dit systeem maakt het mogelijk alle handelingen op de stations in één oogopslag te overzien.

CCTV wordt in 1998 opgevolgd door het programma Mandrake. Dit nieuwe systeem koppelt gezichten aan databanken met foto’s van recidivisten waardoor binnen zestig seconden vijftien miljoen mensen kunnen worden vergeleken. Om dit te realiseren hanteert Mandrake vier unieke meetpunten: wenkbrauw, kin en de beide jukbeenderen.

In toenemende mate wordt daarbij gebruikgemaakt van agressie- detectoren die, voordat er daadwerkelijk sprake is van een overtre- ding, registreren of een persoon zenuwachtige gemoedsbewegingen vertoont die erop wijzen dat hij snel is geneigd geweld te gebruiken.

Systemen die ertoe leiden dat het sociale gedrag wordt gejuridificeerd, gaan steeds verder in hun toepassing. In 2006 treedt in Chicago een geavanceerd systeem in werking van camera’s die de politie alarmeren als een persoon doelloos op straat rondjes loopt of te lang rondhangt bij een openbaar gebouw. Slenteren is dan definitief over.

Deze vorm van handhaving, die zich in korte tijd heeft uitgestrekt tot openbare ruimten als winkelgebieden, probleemwijken, casino’s en parkeergarages, en waaraan steeds meer de betekenis van ‘slim’ in plaats van ‘beter’ wordt toegekend, leidt ertoe dat de opsporing zich niet meer uitstrekt over gepleegde feiten, maar zich richt op de infor- matievergaring over personen. Is niet alles en iedereen een potentiële informatiedrager? Zonder het te weten zijn we onze eigen informanten geworden. Ook u bent ingeschreven in het informantenregister van de politie. Zo bezien is het gebruik van cameratoezicht verlegd van een repressieve toepassing (in de vorm van bewijsmateriaal bestaande uit vastgelegde beelden) naar een preventieve of, beter gezegd, pro-actieve praktijk. Het doel blijft mogelijke overtredingen door burgers te voorkomen. Echter niet meer de bestrijding van het uitgaansgeweld – de oorspronkelijke doelstelling – is richtinggevend, maar het voorkomen van ieder gedrag dat als overlast zou kunnen worden ervaren door gebruikers van de openbare ruimte. Naast personen worden dan ook in toenemende mate bedrijven het doelwit van deze informatieverzameling. In bepaalde staten van de Verenigde Staten worden camera’s in fabrieken geplaatst om de uitstoot van emissies zonder onderbreking op het internet weer te geven. Zo moest het bedrijf Ashland Oil in de staat Ohio videocamera’s in de controle- kamer installeren zodat de politie de mate van de verontreiniging kon blijven monitoren.

De techniek van de pro-actieve handhaving is minder fysiek dan die

(14)

van de surveillance. Haar geweld is vormloos. De middelen zijn tech- nologischer van aard. Ze wekken de indruk direct aangesloten te zijn op de feitelijke werkelijkheid en ze veronderstellen een algemene transparantie. Een ideaal model voor de toepassing van die informatie- en communicatietechnologieën door middel van de verbinding tussen verschillende netwerken is het politieapparaat. In Policing the risk society (1997) van Ericson en Haggerty wordt geanalyseerd hoe de infrastructuur van het computernetwerk het bindende element van de politie is geworden. Deze infrastructuur heeft dat staatsapparaat in bezit genomen. Computer-Aided Dispatch (CAD) systemen, waarbij in politiewagens oproepen, berichten, signalementen en profielen niet meer over de radio worden doorgegeven, maar in beeld verschijnen, maken de controle steeds informatiever omdat gegevens tussen verschillende diensten zoals de Belastingdienst, de sociale dienst en de verkeerspolitie voortdurend worden uitgewisseld. Het gevolg van dit voortdurend uitwisselen en opslaan van gegevens in verschillende netwerken is een vroegtijdiger opsporing en een toename van het aantal willekeurige controles. ‘What we are doing is a proactive patrol (…) go out in residential areas (…) and just write down anything sus- picious’, zegt een politieman in Policing the risk society. Omdat infor- matie altijd om meer informatie vraagt, wordt alles onder- en door- zocht. ‘They investigate everything, every possible thing, they investigate (…) they can’t get anybody to make a decision, so it just gets recorded’. Volgens Ericson en Haggerty functioneert de computer- terminal in de patrouillewagen daarmee als een ‘tijd-en-bewegings- studie’ die nooit stopt. Er schuilt geen boodschap in deze handhaving;

ze heeft geen onmiddellijke betekenis omdat het voorkomen van ieder mogelijk dreigend gevaar voor de verstoring van de openbare orde haar kenmerkt. Anders gezegd, de handhaving van de openbare orde is haar dominante norm.

Vanuit dit ICT-perspectief zou ik willen stellen dat er geen duidelijke figuur van de verdenking meer bestaat zodra feit (factum) en recht (ius) door elkaar gaan lopen. Dit komt doordat het rechtssubject steeds minder als het ‘positief algemene’ van het recht wordt beschouwd waaraan de daartoe noodzakelijke rechtsbescherming is verbonden. Het eenentwintigste-eeuwse subject is een drager van risi- cokenmerken: een doorlopend risico in de openbare ruimte. Daarom wordt het in zijn onberekenbare aard, in zijn ongekende virtualiteit, begrepen. Het virtuele staat dan voor een veelheid aan gedragingen die zich op verschillende wijze kan actualiseren. Op deze wijze verta-

(15)

17

len systemen als Computerised Face Recognition bepaalde intensitei- ten of emoties in het gezicht naar mogelijk gedrag dat de openbare orde in gevaar kan brengen. De instrumentele uitoefening van deze

‘informele’ handhaving blijkt vergaande consequenties te hebben voor de vrijheidssfeer van de burgers, aangezien bij al deze wijzigin- gen de ‘formele’ strafrechtelijke werkelijkheid nauwelijks is mee veranderd. Het gevolg is dat het onderscheid tussen burger en verdachte steeds minder scherp wordt. De beschermende lading van het rechtssubject wordt door de huidige waarheidsvinding verder uitgehold.

Straffen in het hier en nu

In hoeverre heeft de opkomst van ‘direct’ en ‘ogenblikkelijk’ werkende computernetwerken als het internet ook kwalitatieve gevolgen voor de straf? Heeft de overheid nog wel een monopolie op de straf? De doorslaggevende betekenis van ICT heeft een doorbraak in de oplegging van de straf tot gevolg, die meer moet worden gezocht in de voorbeelden van het elektronisch toezicht en de verbanning van personen van bepaalde gebieden of uitsluiting van activiteiten door het gebruik van technologische identificatiemiddelen, dan in de elektronische inning van boetes door het Centraal Justitieel Incasso Bureau (CJIB). Dat leidt ertoe dat personen die veroordeeld zijn voor delicten als ‘winkel- diefstal’ of ‘dronken rijden’ de toegang worden ontzegd tot elektronische buurten als winkelgebieden en snelwegen. Het elektronisch toezicht en de verbanning laten zien dat de straf zich steeds meer afspeelt binnen het perspectief van de reële tijd, dat wil zeggen in het hier en nu, hic et nunc, en minder in de toekomst, zoals dat nog het geval is bij de gevangenisstraf. In het gevangeniswezen wordt in ‘een principe van relatieve continuïteit’ de delinquent door een opeenvol- gende reeks van instellingen als de gevangenis en de reclassering gecontroleerd en gedisciplineerd. De uitkomst van de onmiddellijkheid van het internet, en in het verlengde daarvan het idee van transparantie, maakt het mogelijk dat een persoon of bedrijf, lang voordat de rechter zich over de kwestie heeft gebogen, al wordt ‘bestraft’. Dat iemand wordt genoemd, of diegene het heeft gedaan of niet, heeft zijn werkelijkheidseffecten. Voor supermarktconcern Ahold leidde dat tot de publieke straf van koersdalingen, imagoschade en een forse daling van de verkoop van levensmiddelen. In analogie van ‘Medium is the message’ kan men zeggen ‘Naming is shaming’. In toenemende mate

(16)

zal deze mogelijkheid leiden tot een relatief nieuwe formele strafsanc- tie: naming & shaming. Nu al kan de strafrechter samen met een hoofdstraf zoals gevangenisstraf of een geldboete deze bijkomende straf opleggen (artikel 9 van het Wetboek van Strafrecht en artikel 7 van de Wet op de Economische Delicten). De innovatie is echter gele- gen in het gebruik van het internet in zijn applicatie van wereldwijd communicatiemedium. Dit instrument van ‘noemen en verdoemen’, waarbij een overheidsorgaan of een overheidstaken uitvoerende dienst het verweten gedrag alsmede de overtreder openlijk bekend- maakt via een massamedium, wordt in landen als de Verenigde Staten, Australië en Engeland op verschillende terreinen toegepast. De toe- passingen op het gebied van de fraude en milieucriminaliteit springen het meest in het oog. Zo plaatste de Environment agency (EA) in Engeland en Wales in 1999 een Hall of shame op het internet met een lijst van bedrijven die het jaar daarvoor waren veroordeeld voor de vervuiling van het milieu. De lijst vermeldde de naam van het bedrijf, de sector waarin het werkzaam was en het totaal aantal boetes dat de onderneming aan de staat moest betalen. Tevens werden in grafieken de vijf grootste vervuilers getoond.

Het feit dat vergrijp en straf op elkaar worden afgestemd door de introductie van ICT en het internet, is het gevolg van een aantal ontwikkelingen. In de eerste plaats voltrekt de witte- en groeneboorden- criminaliteit zich in een wereldeconomie die, vertakt volgens mondia- le informatie- en communicatieprocessen, zich niets aantrekt van territoriale jurisdicties van nationale staten. Dat roept de vraag op naar de effectiviteit van de straf op het moment dat een rechtspersoon, zowel juridisch als feitelijk, niet kan worden veroordeeld tot een gevangenisstraf en de hoogte van de op te leggen boete geen afschrik- kende werking vormt voor multinationals als Ahold of Shell.

In de tweede plaats vergroeit de publieke bekendmaking van de straf steeds meer met de gerechtelijke praktijk. Openbaarheid, en daarmee de bevestiging van de norm, is een onlosmakelijke eigenschap van iedere strafoplegging. Onbetwistbaar speelt de schrijvende en filmen- de pers daarbij nog steeds een doorslaggevende rol. Die bevestiging van de norm door het algemeen bekendmaken van de sanctie met als doel burgers en belanghebbenden zo goed mogelijk te informeren over de afdoening van strafzaken, kan echter ook op andere wijze plaatsvinden. Ahold kan worden verplicht op de openingspagina van zijn internetsite de transactie met het Openbaar Ministerie te plaatsen, met daarbij de maatregelen die het bedrijf heeft getroffen om

(17)

19

herhaling van de fraude met de boekhouding te voorkomen. Een andere mogelijkheid is het sturen van een e-mail naar haar aandeelhouders, waarin de transactie bekend wordt gemaakt en toegelicht.

Samenvattend komt deze ontwikkeling hierop neer dat, naast een verandering in schaal- en wijze van handhaving, ICT en het internet ook een elektronische ruimte bieden waarin de handhaving haar definitieve gestalte krijgt. Vanuit dat oogpunt moeten we opnieuw nadenken over de effecten op de plek die daar deel van uitmaakt: de openbare ruimte.

Virtuele ruimte

Door die exponentiële groei aan digitaal en virtueel gegevensverkeer en overeenkomstige communicatiepatronen is de openbare ruimte sinds Thorbecke complexer en dynamischer geworden. Ze is uitge- breid met een andere ruimte. De fysieke, openbare ruimte ligt namelijk in een virtuele ruimte die op computernetwerken is gebaseerd.

Die ruimte bestaat niet in lichamelijke of fysieke zin, maar heeft wel een onmiddellijk effect op ons gedrag in de openbare ruimte. Deze virtuele ruimte, die niet louter een middel is voor het doorgeven van de informatie, grijpt diep in op de wijze waarop we waarnemen of, beter gezegd, voor waar nemen. We doorkruisen met onze gsm’s en i-pods die ruimte met de snelheid van het internet. Hieruit volgt dat de openbare ruimte niet meer waardevrij of neutraal is. De openbare ruimte kan niet meer worden begrepen vanuit het onderscheid tussen een private en publieke ruimte, tussen een binnen en buiten.

Voortaan moeten we de virtuele ruimte benaderen als de verborgen matrix van de openbare ruimte waarin we ons ophouden, waarbij aan de invloed van het internet en die van de communicatie en informa- tietechnologieën een andere inzet, en niet minder dan een publieke inzet, kan worden toegevoegd. We zijn namelijk getuige van een nieuwe omgeving in ons leven die haar invloed laat gelden en een eigen vanzelfsprekendheid of normaliteit oproept. Maar het punt waar het hier om gaat, is de ondergraving van het onderscheid tussen de strafrechtelijke handhaving en de handhaving van de openbare orde. Is het immers verwonderlijk dat, vanuit de geschetste ICT-processen die de strafrechtelijke handhaving steeds fijnmaziger hebben getechnologi- seerd en alom aanwezig hebben gemaakt, een begrip als de openbare orde geen situatiegebonden notie meer is, maar als de heersende

(18)

norm de handhaving binnendringt? Door de inzet van die informatie- en communicatietechnologieën, en in het bijzonder het internet, eist de overheid haar aanspraak op de openbare ruimte weer op.

Op welke wijze kunnen we die toestand, waarin het gaat om handelingen of gebeurtenissen die mogelijk negatieve effecten op de openbare orde teweegbrengen, evalueren? Aan de hand van welk juridisch concept kunnen we deze situatie opvatten? Het onderscheid tussen het gebied waarop de officier van justitie zeggenschap uitoefent, de strafrechtelijke handhaving van de rechtsorde, en het terrein waarop de burgemeester verantwoordelijk is, de handhaving van de openbare orde, heeft geen zeggingskracht meer. Nu deed deze kunstmatige scheiding al geen recht aan de huidige situatie. Hennekens toont in de Handhaving van de openbare orde (1990) aan dat iedere verstoring van de openbare orde gepaard gaat met het plegen van strafbare feiten. Door het begaan van strafbare feiten kan en zal volgens Hennekens in een groot deel van de gevallen de openbare orde in gedrang komen. Als we zijn these radicaliseren vanuit een ICT-perspectief waarin computernetwerken een hele reeks van bijbehorende totaal nieuwe omgevingen creëren, is ieder virtueel gevaar voor of elke bedreiging van de openbare orde tot een te handhaven norm verhe- ven. Alleen in dit licht kunnen we begrijpen dat we in een permanente noodtoestand verkeren. Niet het strafbaar feit op zich brengt de openbare orde in gevaar, maar de effecten die het openbare leven kan ondervinden door alle nog niet geactualiseerde handelingen van burgers en bedrijven. Van een ernstige vrees voor een oproerige bewe- ging, ramp of zwaar ongeval hoeft geen sprake meer te zijn.

Voortdurend nieuwe maatregelen worden getroffen om, zoals Van Eck in De bevoegdheden van de politie in verband met de handhaving van de openbare orde (1967) schrijft, ‘ieder gedrag (curs. MS) dat de nor- male gang van het maatschappelijk leven op een bepaalde plaats en onder gegeven omstandigheden verstoort’, te voorkomen. Deze maatregelen worden ondersteund en mogelijk gemaakt door de onstuit- bare ontwikkeling van ICT. Of om het op zijn krachtigst te formuleren;

de technologische media die de verstoring van de orde in de openbare ruimte willen voorkomen, creëren de noodtoestand. Ze legitimeren zichzelf omdat ze impliciet een beroep doen op een toestand die zij zelf teweegbrengen. Omdat in deze op veiligheid georiënteerde situatie, die wordt gekenmerkt door een hang naar voorspelbaarheid en een reductie van risico’s, de gevaren van meer belang worden geacht dan het bewijs van de feiten, komt de burger in een andere verhou- ding tegenover de overheid te staan. De normale toestand onder-

(19)

21

scheidt zich niet van de noodtoestand. Vandaag de dag zijn we beland in een noodtoestand die regel is geworden. Dat wijst op een fundamentele crisis van recht en maatschappij. Nood breekt geen wet meer, nood is wet.

Literatuur

Agamben, G.

Ausnahmezustand (Homo Sacer II.1)

Frankfurt am Main, Suhrkamp Verlag, 2004

Castells, M.

The internet galaxy; reflections on the internet

New York, Business and Society, Oxford University Press, 2001 Ericson, R.V., K.D. Haggerty Policing the risk society Toronto, University of Toronto Press, 1997

Eck, D. van

De bevoegdheden van de politie in verband met de handhaving van de openbare orde

Tijdschrift voor de politie, 1967 Foucault, M.

Discipline, toezicht en straf; de geboorte van de gevangenis Groningen, Historische Uitgeverij, 1989 Hennekens, H.Ph.J.A.M.

Handhaving van de openbare orde; taken en bevoegdheden van de burgemeester

Den Haag, Vuga Uitgeverij, 1990 McLuhan, M.

Mens en media Utrecht, Ambo, 1967

Mulder, A.

Over mediatheorie; taal, beeld, geluid, gedrag

Rotterdam, V2_/Nai Uitgevers, 2004

Oosterling, H.

Radicale middelmatigheid Amsterdam, Boom, 2000 Piret, J.M.

Veiligheid en rechtsstatelijkheid;

rechtsfilosofische en ideeën- historische beschouwingen Delikt en delinkwent, 30e jrg., nr. 1, 2000

(20)

De kwetsbaarheid van de ICT-samenleving

H.A.M. Luiijf *

Informatie- en communicatietechnologie (ICT) is inmiddels doorge- drongen tot in alle haarvaten van onze samenleving. Naast de vele voordelen van ICT zijn aan het gebruik van ICT ook negatieve aspecten verbonden. Privé leest u in de krant over gekopieerde pinpassen, krijgt u geen service aan een balie omdat ‘de computer het niet doet’, of treft u in uw lijst ontvangen e-mailberichten ongevraagde post aan.

Er zijn echter ook dreigingen die een grootschaliger impact op de ICT- samenleving kunnen hebben. Enerzijds liggen die dreigingen in de sfeer van verlies van vertrouwen door consumenten, burgers en bedrijven in de elektronische samenleving. Anderzijds zijn er dreigingen waarbij de op ICT-gebaseerde samenleving ernstig ontregeld wordt door verstoring of uitval van vitale infrastructuren. Beide drei- gingsbeelden worden in dit artikel geanalyseerd. Daarnaast kijken we vooruit naar ICT-ontwikkelingen die onze samenleving nog kwetsbaarder maken als we ons daar niet tijdig op voorbereiden.

Aangegeven wordt op welke gebieden tijdige aanpak nodig is om de kwetsbaarheid van onze ICT-samenleving beheersbaar te houden en de weerbaarheid van onze op ICT gebaseerde samenleving te verhogen.

Vertrouwen in ICT

De ICT-ambities van onze overheid en de Europese Unie zijn respectievelijk verwoord in de Rijksbrede ICT-Agenda (Agenda, 2004) en het eEurope 2005 Action Plan (eEurope, 2002). Deze ambities gaan uit van een betrouwbare, veilige en vertrouwenwekkende ICT-omgeving voor burgers, consumenten, bedrijven en overheidsorganisaties. Naast voorlichting aan eindgebruikers die gebruikmaken van internet, heeft de Nederlandse overheid meegewerkt aan de harmonisatie van inter-

* De auteur is als Principaal Consultant Informatie Operaties en Bescherming Vitale Infrastructuur werkzaam bij TNO Defensie en Maatschappelijke Veiligheid en is tevens verbonden aan het Clingendael Centrum voor Strategische Studies.

(21)

23

nationale wetgeving voor digitale handtekeningen en ter bestrijding van computercriminaliteit. Dat is echter onvoldoende om het vertrouwen van de burger en de consument enerzijds en het bedrijfsleven en de overheid anderzijds in de brede toepassing van ICT in de samenleving te borgen. Aspecten als privacybescherming en het vertrouwen in de betrouwbaarheid van de ICT-omgeving – zowel organisatorisch als technisch – evenals de zeggenschap over de eigen gegevens en middelen spelen daar een grote rol bij. Als door een in de krant of op tv breed uitgemeten incident de burger het vertrouwen verliest in elektronisch bankieren of elektronisch belastingaangifte doen, dan kan iedere overheidsambitie op het gebied van de ICT-samenleving in de kast gezet worden.

Er zijn een aantal ontwikkelingen gaande die een risico vormen voor de ICT-samenleving als geheel en voor specifieke ICT-diensten in het bijzonder (Luiijf, 2004). Hieronder concentreren we ons op dreigingen in relatie tot het justitiële domein van opsporing en strafbaarstelling.

Het gaat daarbij om de dreigingen tegen ICT en de ICT-infrastructuur waarbij sprake is van menselijke opzet of verwijtbaar onvoorzichtig handelen en om dreigingen die de uitvoering van justitiële taken negatief beïnvloeden.

Internet als drager voor vitale diensten

Verschillende studies (Van Till, 2001; Luiijf, 2003) tonen aan dat het Nederlandse internet in toenemende mate gebruikt wordt voor toe- passingen die bij moedwillige verstoring ernstige consequenties voor onze samenleving kunnen hebben. Zo wordt al een aanmerkelijk deel van onze energie-import en -export op de spotmarkten van de APX en Powernext via het internet ingekocht respectievelijk verhandeld.

Bedrijven en overheidsinstanties gaan uit kostenoverwegingen deels over op telefonie over het internet (Voice-over-IP). Een Nederlands waterschap regelt en controleert zijn pompen, afsluiters en andere technische systemen over het internet, met als uitgangspunt: ‘Als hele volksstammen hun financiën via internet regelen, dan moet je op die manier een zuivering kunnen aansturen’. De vraag is gewettigd of onze samenleving als geheel niet teveel vertrouwen heeft in de internetinfrastructuur dan wel of de overheid in staat is moedwillige verstoringen adequaat het hoofd te bieden, in het bijzonder daar waar het sporenvastlegging, opsporing en vervolging betreft.

(22)

Algemene ICT-kwetsbaarheid

Het matige beveiligingsbewustzijn van ICT-gebruikers, en dan bedoe- len we niet eens pc’s die bij het grofvuil gezet worden, gekoppeld aan een lage kwaliteit van softwareproducten zorgt voor een ICT-omgeving waarin problemen ontstaan die een effect kunnen hebben op het brede vertrouwen in ICT.

Meer dan honderdduizend varianten van virussen, wormen, Trojaanse paarden en andere vormen van ‘bioterrorisme in cyberspace’ belagen de pc’s van individuen, het bedrijfsleven en systemen van de overheid.

Een enkele besmetting of overname is weliswaar vervelend voor de individuele gebruiker, maar heeft geen effect op het brede vertrouwen in ICT. Het risico voor de ICT-samenleving van virussen en wormen zit in een pandemonium, een massale besmetting van systemen.

Enerzijds raken netwerken hierbij geblokkeerd door overbelasting omdat de worm zich massaal probeert te verspreiden. Anderzijds kan het effect desastreus zijn indien de zogenoemde payload niet een demonstratie van kunnen is, maar documenten en spreadsheets ver- nietigt. In dat geval is het niet ondenkbaar dat grote groepen getroffen gebruikers, MKB en grote bedrijven na het ‘likken van de wonden’

zich zullen distantiëren van de open ICT-samenleving. Ondenkbaar is dit niet. De Slammerworm wist zich begin 2003 binnen dertig minuten wereldwijd in vele tienduizenden systemen te nestelen en bracht de volledige internetinfrastructuur in verschillende landen, vliegtuigreserveringssystemen en gelduitgifteautomaten tot stilstand. De schade van dergelijke uitbraken is enorm. Tot op heden zijn de daders vaak eenlingen die ergens op de wereld vanaf bijvoorbeeld hun zolderkamer een stuk code loslaten. Onder druk van politici doen opspo- ringsdiensten optimistische uitspraken over het pakken van de dader.

Uiteindelijk blijkt de opsporing van de dader vaak veel lastiger te zijn en worden alleen de schrijvers van nieuwe varianten gepakt. Pc’s draaiend onder een Windows-besturingsysteem die onbeschermd aan het rauwe internet gehangen worden, zijn gemiddeld binnen twintig minuten al overgenomen door een hacker of zijn besmet met ‘ziek- makende’ code. In april dit jaar was de gemiddelde tijdsduur veertien minuten, te kort voor velen om tijdig de corrigerende code (‘patch’) op te halen en te installeren. Dergelijke overgenomen systemen worden bij duizenden tegelijk ingezet voor zogenoemde distributed denial- of-service (DDoS) aanvallen. Eén onverlaat stuurt daarbij aanvals- commando’s naar één tot een tiental overgenomen systemen die de

(23)

25

aanvalscommando’s op hun beurt doorsturen naar vele duizenden pc’s, de zombies. Dat zijn vaak pc’s bij organisaties die minder aandacht aan beveiliging schenken, bijvoorbeeld universiteiten, maar ook systemen van overheidsinstellingen, bedrijven en uw eigen pc kunnen daarbij zitten. Een aan het werk gezette zombie genereert zo snel als hij kan informatieaanvragen naar een website en bekommert zich niet om het antwoord. Doordat vele (tien)duizenden pc’s – in een tv-inter- view claimde een Nederlandse hacker de controle te hebben over zestigduizend computersystemen – in meer landen tegelijk veel informatieaanvragen sturen, raken de aangevallen server(s) en netwerk(en) overbelast. Voor een kortdurende protestactie – het elektronische equivalent van de blokkade door taxichauffeurs of boeren van een ministerie – een denkbaar en wellicht door de samenleving te accep- teren middel. Zodra het langdurig wordt en grote schade voor de (ICT-)samenleving oplevert, bijvoorbeeld een langdurige blokkade van het elektronisch belastingaangifte doen, wordt de situatie anders. Nog gevaarlijker is het als het aangevallen netwerk (of fysiek nevennet- werk) systemen bevat die vitaal zijn, bijvoorbeeld omdat daar patiën- teninformatie in opgeslagen is. Bekend is dat de Russische mafia een aantal on-line winkels heeft afgeperst door te dreigen – na een kleine demo – deze langdurig onbereikbaar te maken.

In oktober 2004 zijn enkele overheidsinformatiediensten als overheid.nl meer dan vijf dagen het slachtoffer van een dergelijke DDoS- aanval geweest. Aangifte door de overheid zelf tegen de onverlaten had weinig zin omdat de overheid in dit geval niet over adequate mogelijkheden voor opsporing beschikt. De DDoS-aanval maakt gebruik van reguliere webaanvragen, alleen wel heel veel. Het delict computervredebreuk kon daardoor moeilijk gebruikt worden, waarmee tevens opsporingsmogelijkheden als netzoeking bij Internet Service Providers vervielen. Alternatieve strafbare feiten sloten dergelijke opsporingsmogelijkheden uit. Hier wreekt zich de trage invoering van de wetgeving in het kader van het internationaal geharmoniseer- de Cybercrime-verdrag en artikelen uit de Wet Computercriminaliteit II, die al sinds 1999 in de maak is. Het nieuwe artikel WvS 138b zou welkom geweest zijn. De overheid zit nu, drie jaar na de DDoS op de chat-sessie van prins Willem-Alexander en zijn toenmalige verloofde Máxima, nog steeds zonder slagvaardig instrumentarium.

Conclusie is dus dat de slagvaardigheid van weten regelgeving gelijk op moet gaan met negatieve ICT-ontwikkelingen. Denken dat de tech- nologieonafhankelijke wetgeving wel alle voorkomende criminaliteits-

(24)

gevallen zal afdekken is vragen om problemen. Continue verkenning van opkomende ICT-trends die door criminelen misbruikt zouden kunnen gaan worden en het nagaan op welke wijze huidige juridische middelen ingezet kunnen worden en welke er mogelijk ontbreken, is noodzaak. Als neveneffect verbeteren dergelijke verkenningen tevens de informatiepositie over het gebruik en misbruik door de criminaliteit van ICT.

Computervredebreuk (hacking) heeft qua vervolging een lage prioriteit. De oorzaken liggen daarvoor in de gehele keten. Inmiddels zijn er voorlichtingsbrochures voor MKB en andere organisaties over de

‘do’s en don’ts’ bij constatering van computercriminaliteit en hoe men aangifte kan doen. De volgende schakels van de justitiële keten dienen deze aangiften echter op te pakken, al heeft die door het internationale karakter niet altijd een simpele vorm. De echte kwetsbaarheid van de ICT-samenleving zit niet in de 95% van de aanvallen die een webpagina wijzigen, de zogenoemde ‘cyber graffitti’, al zijn die wel vervelend voor de webeigenaar. De kwetsbaarheid van de ICT-samenleving voor hacking komt vooral voort uit de criminele circuits waar veel geld rondgaat voor gestolen informatie (bijvoorbeeld industriële spionage), digitale fraude en rekeningen die geplunderd worden.

Een schatting (Barometer, 2004) geeft aan dat ruim 34.000 Neder- landse bedrijven in het afgelopen jaar tijd het slachtoffer zijn geweest van computervredebreuk met een geschatte schade van 263 miljoen euro, een schade van dezelfde orde van grootte als die door inbraken in en diefstal uit particuliere woningen. Daar staat een beperkt aantal justitiële transactievoorstellen en nog veel minder veroordelingen tegenover.

Spamming, het massaal versturen van niet door de ontvanger van te voren gewenste commerciële berichten, is een grote bron van ergernis voor gebruikers en bedrijven. Soms bestaat meer dan 90% van de binnenkomende e-mail bij bedrijven uit spam, al wordt veel voor de gebruiker gemaskeerd door spamfilters. Sinds april 2004 is het zonder toestemming vooraf versturen van dergelijke commerciële e-mail door of in opdracht van Nederlandse bedrijven naar particulieren in Nederland verboden. Dit blokkeert de spamming uit andere landen niet en bedrijven schieten hier voorlopig niets mee op en moeten veel kosten maken voor het indammen van de grote overlast. Drie van de tien ondervraagden (Barometer, 2004) geven aan te stoppen met e-mail als de hoeveelheid spam verder toeneemt. Gekoppeld aan het hierna te bespreken risico van ‘phishing’ is een effectievere inter-

(25)

27

nationale aanpak van dit probleem nodig wil e-mail als communica- tiemiddel niet geheel verstopt raken door de veelal criminele vormen van reclame (bijvoorbeeld verkoop van Viagra en andere geneesmiddelen; lokkers naar sexwebsites).

Vergelijkbaar met spam is de opkomst van spyware, waarbij na het bezoek aan een aantrekkelijke website ineens stukken code op de pc blijken te staan die heimelijk informatie inwinnen en webpagina-aan- vragen ongewild omleiden. Het risico voor de gebruiker is verlies van privacy, het verlies van persoonlijke gegevens (met als gevolg identi- teitsdiefstal), en het ongewenst voorzien worden van expliciete informatie of het ongevraagd krijgen van aanbiedingen. Spyware en adware (advertenties) zijn nauwelijks te verwijderen. Daar spyware en adware de integriteit van het systeem van de eindgebruiker zonder medeweten en toestemming aantast, zou de huidige criminaliteits- wetgeving een handzaam middel moeten zijn. Recent onderzoek laat zien dat ruim tachtig procent van de pc’s zonder medeweten van de gebruiker met spyware besmet is. Spyware op pc’s in Nederland is vaak afkomstig van buitenlandse websites. Dat zou de Nederlandse overheid echter niet moeten weerhouden om op dit gebied een actief vervolgingsbeleid te voeren waarbij buitenlandse digitale rechtshulp ingeschakeld wordt.

Snel opkomend is het probleem van phishing. Criminelen hacken eerst een systeem, zetten daarop een iets gewijzigde kopie van de website van een bank, elektronische winkel of marktplaats en sturen vervolgens een net echt lijkende e-mailbrief bij honderdduizenden tegelijk. Gegarandeerd dat er enkele klanten van de betreffende bank, winkel of marktplaats de e-mail voor waar aannemen en vervolgens hun identiteits- en aanloggegevens prijsgeven. Al snel worden zij geconfronteerd met geplunderde rekeningen. De statistieken tonen aan dat phishing voor criminelen een zeer lucratieve zaak is: negen- tien procent van de klanten die de e-mail ontvangen gelooft deze op het eerste gezicht. Twee procent vult vervolgens alle gegevens in. In gemiddeld twee en een kwart dag worden dergelijke valse websites uit de lucht gehaald. Binnen dat tijdsbestek verliest het slachtoffer gemiddeld zo’n 1200 dollar. Van één bank in Australië is bekend dat deze hieraan een miljoen dollar per maand verliest. In de VS zijn op een willekeurig moment tweehonderd phishing-pogingen gelijktijdig actief. Dan wordt duidelijk dat het om grote bedragen gaat: op een tussenrekening kwam 240 miljoen dollar in één maand binnen.

Ook banken in Nederland hebben phishing-aanvallen ondervonden.

(26)

De huidige en komende computercriminaliteitswetgeving lijkt echter geen sterke middelen te geven om deze lucratieve vorm van ICT- misbruik aan te pakken. Justitie zal voornamelijk moeten terugvallen op andere wetsartikelen.

Een opkomende dreiging betreft elektromagnetische verstoring of zelfs kapotmaken van netwerkapparatuur, computersystemen en gekoppelde elektronische sensoren als bewakingscamera’s. High- Power Microwave stoorapparatuur kan van buitenaf onzichtbaar in een bestelbus ingebouwd worden. Een demonstratiemodel is ingebouwd in een onschuldig uitziende aktekoffer (CCSS, 2004).

Hackersbladen beschrijven al hoe met weinig middelen gerichte bundels energie gemaakt kunnen worden die moderne elektronische apparatuur in een storingstoestand brengt en chips laat doorbranden.

Voor criminelen biedt dergelijke apparatuur interessante mogelijkheden, bijvoorbeeld afpersing om herhaalde storingen te voorkomen, het uitschakelen van alarmen.

Al de bovenstaande kwetsbaarheden hebben de potentie om het vertrouwen van burgers, consumenten en bedrijfsleven in de ICT-samenleving aanzienlijk te laten dalen. Vooral indien enkele grote incidenten zich binnen een korte tijdspanne voordoen. Naast de eigen beveili- gingsverantwoordelijkheid van burger, bedrijfsleven en overheid is een effectieve justitiële keten nodig. Duidelijke grenzen moeten getrokken worden die aangeven dat de overheid ernstige verstoringen van de ICT-samenleving niet tolereert.

Vitale infrastructuren

De andere vorm van ICT-kwetsbaarheid heeft te maken met vitale infrastructuren. Deze zorgen voor het geordend verlopen van onze samenleving en economie in de volle breedte. Nederland is de afgelopen decennia sterker afhankelijk geworden van de beschikbaarheid en betrouwbaarheid van producten en diensten uit de vitale infrastructuur. Het uitvallen van vitale diensten en producten kan leiden tot levensbedreigende situaties en grote schade aan de Nederlandse vitale belangen die bepalend zijn voor de instandhouding van onze territoriale, fysieke, economische en ecologische veiligheid en de Nederlandse politieke en sociale stabiliteit.

Sinds begin 2002 werken overheid en bedrijfsleven samen aan het project Bescherming Vitale Infrastructuur (Tweede Kamer, 2000-2004).

(27)

29

Binnen dit project is op nationaal niveau vastgesteld welke vitale producten en diensten deel uitmaken van de te beschermen nationale infrastructuur, waaronder de energie-, drinkwater-, telecommunicatie- en voedselvoorzieningen en transport. Uit onderzoek door TNO (Luiijf, 2003a/b/c) is naar voren gekomen dat de meeste van de vitale producten en diensten op een complexe wijze met elkaar zijn verwe- ven en dat zij sterk van elkaar afhankelijk zijn.

Probleem is dat de historisch hoge betrouwbaarheid van onze voorzieningen ervoor zorgt dat het bedrijfsleven nauwelijks nadenkt over en investeert in alternatieven, bijvoorbeeld in noodaggregaten, voor het geval een voor hen vitale infrastructuur gedurende langere tijd uit- valt. Dat er in het verleden niets uitviel, geeft echter geen honderd procent garantie voor de toekomst. Steeds meer vitale producten en diensten worden namelijk gecombineerd tot een nieuw product of dienst. We maken onszelf daarmee steeds afhankelijker van meer vitale infrastructuur zonder dat er een mogelijkheid is om terug te vallen, omdat de oude alternatieven of werkwijzen zijn opgeruimd.

De voortschrijdende inzet van ICT in vitale infrastructuur vormt een nieuwe bedreiging. Kwetsbare computers worden gebruikt om op afstand vitale infrastructuurprocessen te bewaken en te besturen, zoals drinkwater, riolering, gemalen, elektriciteit- en gasdistributie, mobiele telefonie, C2000 en gemeenschappelijke meldkamers. De ver- wevenheid en afhankelijkheid van infrastructuren door het gebruik van informatie- en communicatienetwerken geeft het risico van domino-effecten waarbij uitval of verstoring van één infrastructuur vaak leidt tot ernstige verstoring in andere vitale infrastructuren.

Ook in vitale infrastructuren kunnen de eerder genoemde algemene ICT-dreigingen naar voren treden. Door het toenemende gebruik van standaard ICT-besturingssystemen en dom aangebrachte koppelingen tussen productienetwerken en administratief gerichte netwerken zien we uitval van gelduitgifteautomaten, vliegtuigreserveringssystemen en ook het alarmeringspaneel van een nucleaire centrale door het binnendringen van een internetvirus of -worm.

Ook hackers weten de vitale infrastructuur binnen te dringen.

In Brisbane, Australië heeft een ex-employee met een laptop en draadloze netwerkapparatuur afsluiters en pompen van het riolerings- systeem gemanipuleerd. De viezigheid stroomde over straat. Hackers zijn ook gesignaleerd in de besturings- en controlenetwerken van de elektriciteitdistributie in Spanje, Noorwegen, het Verenigd Koninkrijk en de VS. Ook een gasdistributienetwerk in Europa is enige tijd

(28)

volledig in handen van hackers geweest. Studies naar de technische veiligheid van besturings- en controlesystemen (onder andere Scada, PLC, DCS) in deze vitale infrastructuren en in de procesindustrie laten zien dat de gebruikte protocollen en software eenvoudig te kraken zijn en weinig of geen controles uitvoeren of gegeven commando’s niet gemanipuleerd zijn. Ook is gebleken dat bij de minste of geringste fout in de communicatie, controlesystemen in een fatale stilstand (crash) komen. Een hacker kan dat bewust nastreven, maar ook per ongeluk vooroorzaken.

Gegeven de potentiële schade die op kan treden door manipulatie door hackers, activisten of zelfs terroristen van computers en netwerken in vitale infrastructuur, is het de vraag of de huidige wetgeving daar voldoende op voorbereid is. Veel van de specifieke artikelen uit Titel VII van het Wetboek van Strafrecht die verstoring van vitale infrastructuur behandelen zijn ontwikkeld in een periode dat effecten op dergelijke infrastructuur fysiek waren en alleen lokale gevolgen zouden hebben en dat de dader(s) ook op Nederlands grondgebied opereerden. Inmiddels zijn elektriciteits-, gas-, en telecommunicatie- netwerken internationaal gekoppeld en worden volledig bestuurd met ICT.

Als een hacker alleen het systeem van bijvoorbeeld een energiedistri- butiebedrijf of waterschap wederrechtelijk is binnengedrongen, is computervredebreuk op dit moment alleen volgens artikel 138a lid 1 strafbaar met een straf van ten hoogste zes maanden. Mocht de hacker in het buitenland zitten, dan is het de vraag of voor het simpele vergrijp van computervredebreuk er internationaal veel bereidheid zal zijn om netzoekingen uit te voeren. Blijft over strafbaarheid volgens de artikelen betreffende de vernieling, beschadiging of onbruikbaar maken van de waterhuishouding (art. 161), elektriciteit (art 161bis/ter), telecommunicatie (art. 161 sexies/septies), luchtvaart (art. 162- 163/168-169), spoorwegen (art. 164-165), scheepvaart (art. 166-167), en drinkwater (art. 172-173). Voor vitale infrastructuur als

aardgastransport en -distributie, financiële infrastructuur, transport- pijpleidingen en rioleringswerken ontbreken onder deze titel specifieke artikelen. Ten dele wordt dit nog ondervangen door artikel 351. Een casus waarover nagedacht zou moeten worden is de hacker die enkele weken lang in het besturings- en controlenetwerk van de Spaanse TenneT rondwaarde. Hij had de mogelijkheid om met enkele commando’s het totale Spaanse elektriciteitsnetwerk plat te leggen. Het risico daarvan was een onverwachte overbelasting en uitschakeling

(29)

31

van netwerken in Frankrijk met risico voor de stroomvoorziening in andere Europese landen, waaronder Nederland. Als de hacker op een zolderkamer in Nederland zat en de stroomvoorziening in Nederland naar uw keuze al dan niet ontregeld raakt, welke strafbare feiten leggen we hem ten laste? Of wachten we op een uitleveringsverzoek van Spanje? Gegeven enerzijds de internationale koppelingen van vitale infrastructuur en anderzijds de ICT-aansturingen daarvan, lijkt modernisering van onze huidige wetgeving dus noodzakelijk om in de nabije toekomst niet met bijna lege handen te staan bij ernstige verstoringen van onze ICT-gestuurde vitale infrastructuur of die van andere landen.

Nieuwe ontwikkelingen

Belangrijk is om kort ook de kwetsbaarheid van enkele nieuwe ICT- ontwikkelingen te beschouwen. Hun impact op de samenleving kan dermate groot zijn, dat het niet tijdig voorbereid zijn op dreigingen het risico in zich bergt dat het vertrouwen van burgers, consumenten en bedrijfsleven in de ICT-ontwikkeling in gevaar komt.

Als eerste noemen we Radio Frequency IDentification (RFID), kleine chips die straks de streepjescode van artikelen gaan vervangen en in allerlei goederen, dieren en producten ingebed gaan worden om ze gedurende de levensduur middels radiogolven te traceren. Het risico van ongewenste inbreuk in de privacy van consumenten en verlies van anonimiteit is een discussie die op dit moment internationaal hoog oploopt.

Ten tweede, de zogenoemde embedded processoren. Voor velen onbe- kend maar op dit moment is achtennegentig procent van de compu- terprocessoren niet aangesloten op een netwerk. Printer-, telelefoon- en autofabrikanten controleren via dergelijke processoren of vervan- gende of verbruiksonderdelen origineel zijn of niet. In een midden- klasse auto zitten al veertig tot zestig processoren die binnen afzien- bare tijd gekoppeld worden aan het ‘boordnetwerk’. Ze communiceren daarmee met elkaar en met de buitenwereld. Auto’s gaan op die wijze hun onderlinge afstand afstemmen, gaan automatisch remmen bij te korte afstand en ze communiceren hun onderhoudsstatus met de garage.

Een ander gebied met embedded processoren in opkomst is domotica, waar in huizen of bedrijfspanden allerlei apparatuur intelligent

(30)

aangestuurd wordt. Denk aan controle op afstand van deuren, alarm- circuits, verwarming en koeling, verlichting, maar ook het aanzetten van de oven en het automatisch bestellen van goederen door de koel- kast (in het huis van de toekomst kunt u voorbeelden daarvan zien).

Binnen enkele jaren zijn ingebedde processoren en sensoren in onderkleding te verwachten die continu de gezondheidsstatus van hart- en andere patiënten bewaakt en de informatie via mobiele communicatie en het internet doorgeeft aan het ziekenhuis. Inbreuken door hackers, virussen, wormen of Trojan horse code op dergelijke autosystemen, domotica, patiëntvolgsystemen of andere ingebedde processortoepassingen vallen weliswaar binnen de huidige technolo- gieonafhankelijke computervredebreuk en de aanstaande Cybercrime convention/ Wet Computercriminaliteit II wetgeving, maar het is de vraag of nu niet nagedacht moet worden of de justitiële keten wel optimaal toegerust is om negatieve aspecten van dergelijke nieuwe ontwikkelingen effectief de kop in te drukken.

Effectiviteit van de aanpak

Hierboven is aangegeven dat de huidige wetgeving enerzijds niet optimaal is en anderzijds niet adequaat in de praktijk gebracht wordt om de ICT-samenleving te beschermen. Naast de justitiële keten moet de opsporingsketen natuurlijk ook optimaal toegerust zijn om effectief en efficiënt computercriminaliteit aan te pakken. Dat vergt een goed samenspel met burgers en bedrijven die bereid moeten zijn aangifte te doen in een situatie waar hun belangen ergens anders liggen (Kwint, 2003; Nato, 2004). Opsporingsinstanties hebben voor hun inforensisch onderzoek en analyse veel betere en (bijna) real-time hulpmiddelen nodig. Hier wreekt zich het kip-of-ei-probleem: te weinig aangiften, sporadische expertise, minder hulpmiddelen, niet of nauwelijks vervolging, geen veroordelingen, geen aangiftebereidheid.

Eerdere studies (Van Amersfoort, 2002) en nationale initiatieven zoals het Hacking Emergency Response Team (Hert, 2002) en publiek-private samenwerkingsinitiatieven om hulpmiddelen te ontwikkelen zijn nauwelijks verder dan het planstadium gekomen. De verschillende projecten van het nieuwe Netherlands High Tech Crime Center, waaronder ook vitale infrastructuur, gaan hopelijk een nieuwe impuls geven, zodat Nederland de kwetsbaarheid van onze eigen ICT-samenleving beheersbaar kan houden en de weerbaarheid van de op ICT gebaseerde samenleving, Europabreed, verhoogt.